Srikanth Ramu

**Nome do software vulnerável e versões afetadas** Spring Batch (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma vulnerabilidade de deserialização no Jackson que pode levar à execução de código arbitrário quando a tipagem padrão está habilitada. Essa vulnerabilidade pode ser explorada no Spring Batch se o suporte ao Jackson for usado para serializar o ExecutionContext de um trabalho e um usuário mal-intencionado obtiver acesso de gravação ao armazenamento de dados usado pelo JobRepository. A vulnerabilidade é mitigada pela lista negra do Jackson de “gadgets de deserialização” conhecidos. No entanto, para se proteger contra gadgets desconhecidos, medidas proativas devem ser tomadas ao habilitar a tipagem padrão. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Yaml Axis, versões 0.2.0 e anteriores **Descrição** O problema decorre do fato de o analisador YAML não estar configurado para impedir a instanciação de tipos arbitrários, o que leva a uma vulnerabilidade de execução remota de código. Essa vulnerabilidade pode ser explorada por usuários capazes de configurar uma tarefa com múltiplas configurações ou controlar o conteúdo do repositório SCM de uma tarefa previamente configurada. **Recomendações** Para as versões 0.2.0 e anteriores do Jenkins Yaml Axis Plugin, atualize para a versão 0.2.1 ou posterior, que configura seu analisador YAML para instanciar apenas tipos seguros.